Kako instalirati GRR na Ubuntu 18?

Naučite kako instalirati GRR (Google Rapid Response) poslužitelj i klijent na Ubuntu za izvođenje inicijacija.


Uvod

GRrkao (Google Rapid Response) je okvir za reagiranje na incident koji se temelji na Pythonu i koji se može koristiti za live forenziku i istrage. To vam omogućuje ispitivanje i napadi i obavljanje analize na daljinu.

GRR se može primijeniti u arhitekturi poslužitelj-klijent. Dolazi s internetskim korisničkim sučeljem koje vam omogućuje analizu podataka prikupljenih od klijenata. Pruža podršku za Linux, Mac OS X i Windows OS.

zahtjevi

  • Poslužitelj koji pokreće Ubuntu 18.xx
  • Korijenska lozinka postavljena je na vašem poslužitelju

Početak rada

Prije pokretanja morat ćete ažurirati sustav s najnovijom verzijom. To možete učiniti pomoću sljedeće naredbe:

apt-get update -y

Nakon ažuriranja sustava, ponovno pokrenite sustav da biste primijenili sve promjene.

Instalirajte i konfigurirajte bazu podataka

Prvo, trebate instalirati MariaDB poslužitelj baze podataka na svoj sustav. Možete ga instalirati sljedećom naredbom:

apt-get install mariadb-server -y

Nakon što je instalacija dovršena, osigurajte instalaciju MariaDB pokretanjem sljedeće naredbe:

mysql_secure_installation

Odgovorite na sva pitanja kao što je prikazano u nastavku:

Unesite trenutnu lozinku za root (unesite za none):
Postavite root lozinku? [Y / n]: N
Ukloniti anonimne korisnike? [Y / n]: Y
Daljinsko onemogućavanje prijave za korijen? [Y / n]: Y
Ukloniti testnu bazu podataka i pristup njoj? [Y / n]: Y
Ponovno učitati tablice privilegija? [Y / n]: Y

Nakon što je MariaDB osiguran, prijavite se u MariaDB shell sljedećom naredbom:

mysql -u korijen -p

Unesite svoju lozinku za root. Zatim kreirajte bazu podataka i korisnika za GRR sa sljedećom naredbom:

MariaDB [(nema)]> KREIRATI BAZU PODRUČJA grr;
MariaDB [(nema)]> PODELITE SVE PRIVILEGE NA grr. * TO ‘grr’ @ ‘localhost’ IDENTIFICIRANI ‘lozinkom’ SA GRANT OPTION;

Zatim isperite privilegije i izađite iz ljuske MariaDB sa sljedećom naredbom:

MariaDB [(nema)]> FLUSH PRIVILEGES;
MariaDB [(nema)]> IZLAZ;

Zatim ponovo pokrenite MariaDB uslugu sa sljedećom naredbom:

systemctl ponovno pokrenuti mariadb

Status MariaDB usluge možete provjeriti pomoću sljedeće naredbe:

systemctl status mariadb

Trebali biste vidjeti sljedeći izlaz:

mariadb.service – poslužitelj baze podataka MariaDB 10.1.38
Opterećen: učitan (/lib/systemd/system/mariadb.service; omogućeno; unaprijed postavljeno dobavljač: omogućeno)
Aktivno: aktivno (traje) od pet 2019-04-12 15:11:14 UTC; Prije 54min
Dokumenti: čovjek: mysqld (8)
https://mariadb.com/kb/en/library/systemd/
Glavni PID: 1050 (mysqld)
Status: "Sada uzimam svoje SQL zahtjeve…"
Zadaci: 46 (ograničenje: 1113)
CGroup: /system.slice/mariadb.service
└─1050 / usr / sbin / mysqld
12. travnja 15:10:53 ubuntu1804 systemd [1]: Pokretanje MariaDB 10.1.38 poslužitelja baza podataka…
12. travnja 15:11:07 ubuntu1804 mysqld [1050]: 2019-04-12 15:11:07 140152311749760 [Napomena] / usr / sbin / mysqld (mysqld 10.1.38-MariaDB-0ubuntu0.18.04.1)
12. travnja 15:11:14 ubuntu1804 systemd [1]: pokrenut MariaDB 10.1.38 poslužitelj baze podataka.
12. travnja 15:11:14 ubuntu1804 / etc / mysql / debian-start [1251]: Nadogradnja MySQL tablica ako je potrebno.
12. travnja 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: / usr / bin / mysql_upgrade: opcija ‘–basedir’ se uvijek zanemaruje
12. travnja 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Tražite ‘mysql’ kao: / usr / bin / mysql
12. travnja 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Tražite ‘mysqlcheck’ kao: / usr / bin / mysqlcheck
12. travnja 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Ova instalacija MySQL-a već je nadograđena na 10.1.38-MariaDB, koristite –force ako
12. travnja 15:11:15 ubuntu1804 / etc / mysql / debian-start [1306]: Provjera nesigurnih korijenskih računa.
12. travnja 15:11:15 ubuntu1804 / etc / mysql / debian-start [1311]: Pokretanje myisam-recovery-a za sve MyISAM tablice i aria-recovery za sve Aria tablice
redovi 1-21 / 21 (KRAJ)

Nakon što učinite, možete prijeći na sljedeći korak.

Instalirajte GRR Server

Prvo, morat ćete preuzeti GRR paket sa njihovog službeno GitHub skladište.

Možete ga preuzeti sa sljedećom naredbom za preuzimanje verzije GRR 3.2.4.6.

wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.4-6_amd64.deb

Nakon dovršetka preuzimanja, instaliranu datoteku možete instalirati sa sljedećom naredbom:

dpkg -i grr-server_3.2.4-6_amd64.deb

Zatim instalirajte potrebne ovisnosti sa sljedećom naredbom:

apt-get instalacija -f

Tijekom instalacije morat ćete navesti neke detalje kao što su, host baze podataka, korisničko ime, lozinka, GRR URL-ovi i lozinka administratora kao što je prikazano u nastavku:

Trčanje grr_config_updater inicijalizira
Da biste izbjegli ovaj upit, postavite DEBIAN_FRONTEND = neinteraktivan
################################################## ###############
Provjera pristupa pisanju na config /etc/grr//server.local.yaml
Korak 0: Uvoz konfiguracije iz prethodne instalacije.
Nije pronađena stara konfiguracijska datoteka.
Korak 1: Postavljanje osnovnih parametara konfiguracije
Sada ćemo konfigurirati poslužitelj pomoću hrpe pitanja .- = GRR Datastore = – Da bi GRR radio, svaki GRR poslužitelj mora biti u mogućnosti komunicirati s podatkovnom prodavaonicom. Da bismo to učinili, moramo konfigurirati datastore.GRR će MySQL koristiti kao pomoćnu jedinicu baze podataka. Unesite detalje veze: MySQL Host [localhost]: MySQL Port (0 za lokalni socket) [0]: Baza podataka MySQL [grr]: MySQL korisničko ime [root]: grr Molimo unesite lozinku za korisnika baze podataka grr: Uspješno povezan s MySQL-om s priloženim detaljima .- = GRR URL-ovi = -Da GRR radi, svaki klijent mora biti u mogućnosti komunicirati s poslužiteljem. Da bismo to učinili, obično nam je potrebno javno dns ime ili IP adresa za komunikaciju. U standardnoj konfiguraciji ovo će se koristiti za host i poslužitelju koji je okrenut prema klijentu i korisničko sučelje administratora. Unesite svoje ime računala, npr. grr.example.com [ubuntu1804]: 192.168.0.104- = URL servera =-URL URL-a poslužitelja određuje URL koji će klijenti povezati kako bi komunicirali sa poslužiteljem. Za najbolje rezultate ovo bi trebalo biti javno dostupno. Prema zadanim postavkama ovo će biti port 8080 s URL-om koji završava na /control.Frontend URL [http://192.168.0.104:8080/Sense:-=AdminUI URL = -: URL korisničkog sučelja određuje gdje se može pronaći administrativno web sučelje. AdminUI URL [http://192.168.0.104:8000Sense:-=GRR E-poruke = -GRR moraju biti u mogućnosti slati e-poštu za razne funkcije evidentiranja i pokretanja. Domena e-pošte bit će dodana GRRusernames pri slanju e-poruka korisnicima .- = Nadgledanje / Domena e-pošte = -Emailovi u vezi upozorenja ili ažuriranja moraju se slati na ovu domenu.Email adresa, npr. Example.com [localhost]: – = Alert Email Address = -Na adresu gdje se šalju događaji za praćenje, npr srušili klijente, slomljen poslužitelj itd. Alert Address Email [[E zaštićeni]]: – = adresa e-pošte za hitne slučajeve =-adresa na koju se šalju događaji visokog prioriteta, poput zaobilaznog ACL bypass-a. Adresa e-pošte za pristup hitnim slučajevima[E zaštićeni]]: Rekall više nije aktivno podržan. Svejedno omogućiti? [yN]: [N]: Korak 2: Generacija ključaSvi će ključevi imati duljinu od 2048. Generiranje izvršnog ključa za potpisivanje Generiranje CA tipki Generiranje tipki poslužitelja Generiranje tajnog ključa za zaštitu csrf. Prepravljeno u / usr / share / grr-server / izvršne datoteke / instalatore /grr_3.2.4.6_amd64.debGRR Inicijalizacija je dovršena! Novu konfiguraciju možete urediti u /etc/grr//server.local.yaml. Ponovo pokrenite uslugu kako bi nova konfiguracija stupila na snagu. #################### ################################################ Install Complete.

Sada ponovo pokrenite GRR uslugu kako biste primijenili sve promjene:

ponovno pokrenuti sustav grr-server

Sada možete provjeriti status GRR sa sljedećom naredbom:

systemctl status grr-poslužitelja

Trebali biste vidjeti sljedeći izlaz:

grr-server.service – GRR usluga
Opterećen: učitan (/lib/systemd/system/grr-server.service; omogućeno; unaprijed postavljeno dobavljač: omogućeno)
Aktivno: aktivno (izašao) od pet 2019-04-12 15:57:09 UTC; Prije 6 s
Dokumenti: https://github.com/google/grr
Proces: 7178 ExecStop = / bin / systemctl – zaustavljanje bez blokade [E zaštićeni]_ui.service [E zaštićeni] [E zaštićeni] GRrkao-a
Proces: 7215 ExecStart = / bin / systemctl – početak blokade [E zaštićeni]_ui.service [E zaštićeni] [E zaštićeni] GRrkao
Glavni PID: 7215 (kod = izašao, status = 0 / USPJEH)
12. travnja 15:57:09 ubuntu1804 systemd [1]: Pokretanje GRR usluge…
12. travnja 15:57:09 ubuntu1804 systemd [1]: Pokrenuta GRR usluga.

Pristupite GRR web sučelju

GRR je sada instaliran i sluša na priključcima 8000 (Admin) i 8080 (Frontend).

Da biste pristupili GRR Admin sučelje, otvorite web preglednik i utipkajte URL http://192.168.0.104:8000.

Od vas će se tražiti da navedete korisničko ime i lozinku administratora, koristite administratora kao korisnika i lozinku koju ste postavili tijekom instalacije. Zatim kliknite gumb U redu. Bit ćete preusmjereni na sljedeću stranicu:

Instalirajte GRR klijent

Prvo se prijavite na web sučelje vašeg GRR poslužitelja i pomaknite se na karticu Manage Binaries u lijevom oknu. Na sljedećoj stranici trebali biste vidjeti različite verzije klijenta poput, RHEL, Debian i BSD:

Sada, vaš distro je Ubuntu 18.04. Dakle, kliknite na grr_3.2.4.6_amd64.deb za preuzimanje GRR klijenta za Ubuntu.

Nakon dovršetka preuzimanja instalirajte preuzetu datoteku sa sljedećom naredbom:

dpkg -i grr_3.2.4.6_amd64.deb

Gornja naredba instalira GRR klijent u vaš sustav i automatski se registrira na GRR poslužitelju.

Status GRR-a možete provjeriti i pomoću sljedeće naredbe:

systemctl status grr

Trebali biste vidjeti sljedeći izlaz:

grr.service – grr linux amd64Loaded: loaded (/lib/systemd/system/grr.service; omogućeno; unaprijed postavljeno dobavljač: omogućeno) Active: active (running) from Fri 2019-04-12 16:24:39 UTC; 16s agoMain PID: 3305 (grrd) Zadaci: 6 (ograničenje: 847) CGroup: /system.slice/grr.service├─3305 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4. 6_amd64 / grrd.yaml└─3306 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4.6_amd64 / grrd.yaml 12. aprila 16:24:39 ubuntu1804 systemd [1]: Started grr linux amd64.

Obavite istragu

Idite na web sučelje GRR poslužitelja i kliknite na Okvir za pretraživanje i pritisnite Enter. Trebali biste vidjeti svog klijenta na sljedećoj stranici:

Sada kliknite svog klijenta da biste vidjeli više detalja kao što je prikazano na sljedećoj stranici:

Dalje ćemo navesti procese koji se izvode na Klijentu.

Da biste to učinili, kliknite na Pokrenite nove tokove > procesi > ListProcesses, Pod Stanjem veze odaberite osnovan i kliknite na lansiranje pokrenuti tok. Trebali biste vidjeti sljedeću stranicu:

Zatim kliknite na Upravljanje pokretanim tokovima > ListProcesses > Rezultati da biste vidjeli rezultate tijeka ListProces na sljedećoj stranici:

Čestitamo! Uspješno ste instalirali GRR poslužitelj i klijent. Samo naprijed i igraj se s alatom.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map